WINNKIT Rootkit

WINNKIT 是 Winnti 高級持續性威脅參與者使用的多階段、複雜攻擊模式中使用的組件之一的名稱。

Winnti 組威脅參與者有時也稱為 APT41。據安全研究人員稱，這是一個講中文的黑客組織，據稱與中國情報部門合作，專門從事網絡間諜活動。

使用 WINNKIT 的攻擊非常複雜，並且在同一攻擊中使用了許多不同的工具，最終目標是在受害系統上安裝 WINNKIT 惡意內核和 rootkit。

攻擊中使用的其他工具包括名為 Spyder、STASHLOG 和 SPARKLOG 的後門——這兩個工具用於將惡意加密的有效負載存儲在 Windows CLFS 或“通用日誌文件系統”中，最後是 PRIVATELOG 和 DEPLOYLOG——相互解包的工具，使用 DEPLOYLOG 最終解壓 WINNKIT rootkit。

WINNKIT 是一個類似於 rootkit 的驅動程序。該惡意軟件的檢測率低得驚人，並且能夠攔截 TCP/IP 請求，就像受感染系統上的內核模式代理一樣。

為了使檢測更加困難，WINNKIT 使用了過期的 BenQ 簽名。這有助於惡意軟件繞過 Windows 驅動程序簽名強制機制。

WINNKIT 有許多插件被注入到合法的 Windows svchost 進程中，用於進一步提升惡意軟件的規避能力。不同的模塊有不同的目的，從殺死受害者機器上的進程到讓 Winnti 遠程桌面訪問受感染系統的能力。